SlowMistdentSicherheitslücke, die private Schlüssel offenlegen könnte

Das Blockchain-Sicherheitsunternehmen SlowMist hat eine Schwachstelle in einer weit verbreiteten kryptografischen JavaScript-Bibliothekdent, die die privaten Schlüssel der Benutzer Angreifern zugänglich machen könnte.

Die Sicherheitslücke betrifft die beliebte Bibliothek „elliptic“, die elliptische Kurvenkryptographiefunktionen für verschiedene Kryptowährungs-Wallets,dentund Web3-Anwendungen bereitstellt.

Laut einer Analyseliegt die Schwachstelle in der fehlerhaften Verarbeitung nicht standardkonformer Eingaben durch die Bibliothek während der Signaturerstellung. Dies kann zu wiederholten Zufallszahlen in ECDSA-Signaturen führen. Da die Sicherheit dieser Signaturen vollständig von der Eindeutigkeit dieser Zufallswerte abhängt, ermöglicht jede Wiederholung Angreifern,maticden privaten Schlüssel mathematisch abzuleiten

Die Schwachstelle ermöglicht dietracdes privaten Schlüssels mit minimaler Interaktion

Die Schwachstelle liegt in der Art und Weise, wie die elliptische Bibliothek den sogenannten „k-Wert“ generiert. Dieser Zufallswert sollte niemals für verschiedene Signaturen wiederverwendet werden. Die Analyse von SlowMist zeigt, dass Angreifer durch gezielte Eingaben die Bibliothek dazu verleiten können, diesen Wert wiederzuverwenden. „Bei der Generierung von k werden der private Schlüssel und die Nachricht als Startwerte verwendet, um die Eindeutigkeit bei unterschiedlichen Eingaben zu gewährleisten“, erklärt der Bericht von SlowMist.

Diese Schwachstelle stellt eine gefährliche Angriffsmöglichkeit dar, da sie nur minimale Interaktion mit den Opfern erfordert. Ein Angreifer muss lediglich eine gültige Signatur beobachten und das Ziel dann dazu bringen, eine speziell präparierte Nachricht zu unterzeichnen. Durch den Vergleich dieser beiden Signaturen kann der Angreifer mithilfe einer relativ einfachen Formel den privaten Schlüssel des Opfersmaticableiten.

Die weitverbreitete Einführung gefährdet zahlreiche Web3-Anwendungen

Die Verwendung der Elliptic-Bibliothek durch die JavaScript-Community erhöht das potenzielle Ausmaß der Sicherheitslücke. Laut SlowMist ist die Schwachstelle in allen Versionen bis einschließlich 6.6.0 vorhanden und betrifft Anwendungen, die verschiedene elliptische Kurven verwenden.

Alle Anwendungen, die ECDSA-Signaturen für extern bereitgestellte Eingaben verwenden, sind gefährdet. Dies kann Kryptowährungs-Wallets, dezentrale Finanzanwendungen, NFT- Plattformen und Web3-basiertedent.

Die Nutzung von Bibliotheken im Bereich digitaler Währungen birgt ein Angriffspotenzial. Wird der private Schlüssel kompromittiert, erlangen Angreifer die volle Kontrolle über die entsprechenden Vermögenswerte. Hacker können unautorisierte Überweisungen durchführen, Eigentumsverhältnisse verändern oder sich in dezentralen Anwendungen als Benutzer ausgeben.

SlowMist hat außerdem einige Sofortmaßnahmen für Nutzer und Entwickler veröffentlicht, um die Sicherheitslücke zu beheben. Entwickler sollten zunächst die Elliptic-Bibliothek auf Version 6.6.1 oder höher aktualisieren, da die Schwachstelle in der neuesten Version offiziell behoben wurde.

Neben der Aktualisierung der Bibliothek empfiehlt SlowMist Entwicklern, zusätzliche Sicherheitsvorkehrungen in ihre Apps zu integrieren. Für die betroffenen App-Nutzer besteht die größte Sorge darin, ob ihre privaten Schlüssel bereits gefährdet sind. SlowMist rät Nutzern, die möglicherweise schädliche oder unbekannte Nachrichten signiert haben, ihre privaten Schlüssel vorsorglich zu ersetzen.

Phishing-Angriffe nehmen ab, da technische Schwachstellen in den Vordergrund rücken

Obwohl die Ergebnisse von SlowMist auf Bedrohungen durch technische Sicherheitslücken hinweisen, zeigen Zahlen von Scam Sniffer, dass herkömmliche Phishing-Angriffe drei Monate in Folge zurückgegangen sind. Im Februar 2025 verloren 7.442 Opfer insgesamt 5,32 Millionen US-Dollar. Dies entspricht einem Rückgang von 48 % gegenüber den 10,25 Millionen US-Dollar im Januar und von 77 % gegenüber den 23,58 Millionen US-Dollar im Dezember.

🧵 [1/4] 🚨 ScamSniffer Phishing-Bericht Februar 2025

Verluste im Februar: 5,32 Mio. $ | 7.442 Betroffene
Verluste im Januar: 10,25 Mio. $ | 9.220 Betroffene
(-48 % im Vergleich zum Vormonat) pic.twitter.com/HsZZSlYKJC

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5. März 2025

Obwohl dieser Abwärtstrend erkennbar ist, sind einige Angriffsmethoden nach wie vor äußerst wirksam. Angriffe auf die Erlangung von Permit Allowances, bei denen Hacker Wallet-Adressen erstellen, die optisch nicht von legitimen zu unterscheiden sind, führten zu dem höchsten Einzelverlust in Höhe von 771.000 US-Dollar in ETH.

Permit-basierte Angriffe folgten dicht dahinter mit Verlusten in Höhe von 611.000 US-Dollar, gefolgt von nicht widerrufenen Phishing-Genehmigungen auf BSC im Wert von 610.000 US-Dollar an veruntreuten Geldern. IncreaseApproval-Exploits komplettierten die Top-Angriffsvektoren mit Verlusten in Höhe von 326.000 US-Dollar in ETH.